
A campanha detectada pela Fortinet integra evasão por esteganografia, checagem de localização no servidor e infraestrutura rotativa diária para roubo de credenciais financeiras na Espanha e em Portugal.
| Componente | Cavalo de Troia bancário Ousaban (também rastreado como Javali) focado em sistemas operacionais Windows. |
| Vetor | Phishing via arquivos PDF maliciosos disfarçados de documentos corrompidos, acionando JavaScript embutido e explorando esteganografia para entregar a carga útil após rigorosa validação geográfica no servidor. |
| Impacto | Roubo de credenciais bancárias e sequestro de sessões ativas mediante captura de teclas, screenshots, modificação de área de transferência, injeção de sobreposições gráficas e controle remoto do dispositivo comprometido. |
| Prioridade | Implementar monitoramento de chaves de registro suspeitas, restringir a execução de JavaScript em leitores de PDF, aprimorar a telemetria de sandboxes com spoofing de localização geográfica e isolar estáções de trabalhos de alto risco financeiro. |
O cavalo de Troia bancário de origem brasileira conhecido como Ousaban, também rastreado sob o identificador Javali, está atualmente operando uma campanha direcionada a usuários de instituições financeiras na Espanha e em Portugal. Identificada inicialmente pelos pesquisadores da FortiGuard Labs em maio de 2026, a operação maliciosa emprega táticas sofisticadas de evasão, filtragem geográfica ofuscada e esteganografia para maximizar as taxas de infecção bem-sucedidas e evitar a detecção por sistemas de segurança automatizados.
Ameaças deste category pertencem a um ecossistema mais amplo, classificado pela Kaspersky como a Tetrade, que engloba outras famílias notórias proximamente relacionadas, como Grandoreiro, Guildma e Melcoz. Esses grupos compartilham similaridades arquiteturais e operacionais profundas em seu desenvolvimento, como a herança de um esquema de criptografia de strings customizado, estilo anteriormente observado na família Casbaneiro. O Ousaban valida a durabilidade e resiliência deste modelo de negócio criminoso, adaptando sua infraestrutura e rotas de entrada iniciais, o que inclui a recente exploração de golpes de engenharia social como o ClickFix, documentados em atividades do final do ano de 2025.
O objetivo técnico primário do Ousaban permanece inalterado e direto: o sequestro de sessões bancárias ativas para a realização de transações não autorizadas e a exfiltração de dados de autenticação financeira. Uma vez implantado na máquina da vítima executando Windows, o malware entra em um estado de inatividade e observação contínua do tráfego do navegador hospedeiro. Ao identificar o acesso a um dos mais de vinte portais bancários especificamente monitorados, o software malicioso aciona seus módulos de interceptação para capturar de forma silenciosa credenciais e conferir ao atacante remoto a capacidade de assumir o controle total do dispositivo.
O fluxo de infecção tem início com a distribuição de um arquivo PDF malicioso projetado para simular um documento ou fatura corrompida, exigindo uma ação do usuário. O artefato exibe um aviso visual solicitando que o utilizador acione um botão de Atualizar. Para reduzir a fricção e garantir a continuidade do ataque independentemente da interação humana, o sistema injeta no documento PDF um código JavaScript oculto projetado para instanciar a abertura de uma página de destino maliciosa de forma autônoma.
A página redirecionada simula um portal legítimo de instalação de documentos fiscais, mas atua primariamente como um portão de seleção onde ocorre um intensivo processo de triagem. A camada de aplicação examina em profundidade as características da máquina visitante. O mecanismo inspeciona o endereço IP, fuso horário e_LANGUAGE, e implementa bloqueios ativos contra conexões oriundas de redes privadas virtuais (VPNs). O sistema policing identifica e descarta acessos originados de ferramentas de automação, análise de segurança e varredura de motores de pesquisa por meio da inspeção de fingerprints estáticos e dinâmicos do navegador, como dimensões de janela de renderização e as listas de fontes instaladas no ambiente hospedeiro.
Visitantes que não atendam ao critério estrito de localização ibérica são interceptados e redirecionados para uma notificação estática de negação de acesso em idioma espanhol. Contudo, caso as validações sejam aprovadas, o ataque avança para a fase de entrega do binário por meio de técnicas de esteganografia. Um script manipula o download de um arquivo de imagem que imita o ícone de um PDF padrão. Oculta dentro dos metadados desta imagem, encontra-se embutido um arquivo compactado no formato ZIP abrigando a carga útil do Ousaban.
O script de infecção desempacota o arquivo no disco, executa o binário no contexto do sistema operacional subsequente e executa um processo de saneamento deletando a imagem original, o arquivo intermediário e as próprias instruções de extração para minimizar a superfície de descoberta forense. Com o mala implantado, é estabelecido um canal de persistência mediante a alteração do registro do Windows para forçar a execução automática a cada inicialização do sistema, criando especificamente uma chave Run nomeada Financeiro.
Para manter as comunicações com o servidor de Comando e Controle (C2), a arquitetura do Ousaban lançada mão de uma técnica de rotação diária projetada para dificultar o bloqueio de endereços IP. O código malicioso acessa uma página pública do Google para requisitar a data atual do calendário externo. Utilizando essa informação temporal combinada com uma cadeia de caracteres secreta e pré-determinada, o algoritmo calcula internamente e resolve diariamente um novo endereço de servidor, criando uma infraestrutura pontual e de uso efêmero. Endereços legítimos são mascarados em camadas utilizando serviços como o Pastebin inserindo URLs de descarte para atuar como isca distrativa para analistas.
A campanha em análise é seletiva e direciona seus mecanismos de evasão, validação geográfica e posterior exploração contra um alvo demográfico bem definido. A superfície de impacto engloba não somente o usuário final, mas também expõe lacunas em soluções corporativas de filtragem de URL e inspeção de anexos que dependem de abordagens estáticas para detecção.
- Sistemas operacionais Windows are ao único ambiente confirmado de execução, persistência e interceptação para está variação do malware Ousaban.
- Contas e acessos de clientes individuais e empresariais vinculados a instituições financeiras específicas na região, englobando estabelecimentos como Banco Santander, BBVA, CaixaBank, Bankinter e Caixa Geral de Depósitos.
- Trabalhos de automação e Sandboxes de segurança corporativas baseadas em nuvem que não preservam mascaramento de IP e spoofing de fingerprint do navegador imune a inspeções de tela e fontes são inadequadamente afastadas ao receberem apenas avisos estáticos falsos do servidor C2 ao invés da carga real infectante.
- Motores de detecção baseados puramente em assinaturas de arquivos estáticos estão cegos pela combinação polimórfica de rotação diária de endereços web unida àинство do payload ocultado em arquivos de imagem aparentemente benignos.
Devido à natureza extremamente evasiva do transporte oculto nos arquivos de imagem e validações no servidor inspetor, as equipes de resposta a incidentes e monitoramento de ameaças devem reconfigurar suas procuras para detectar os efeitos colaterais da pós-infecção no sistema operacional Windows ao invés de dependerem da premissa de bloqueio inicial.
- Monitorar ativamente edições no registro Windows vigiando mudanças na hierarquiaHKLM\Software\Microsoft\Windows\CurrentVersion\Run, especificamente auditando a criação injustificada de entradas.bat nas chaves identificadoras intituladas como
Financeiro. - Inspecionar rotinas proativas na termnialis extração de lixo do sistema mapeando eventos de criação, alteração e deleção rápida de arquivos associados à depuração no caminho de depósito de execução em diretórios locais randomizados como
C:\SysMain_5874288. - Configurar regras SIEM para detectar accesses a portais de data externos, como requisições de sistemas não computacionais avançando para páginas virgens do Google Calendar ou páginas de motores de busca seguidos de cálculos e subsequente tentativa de resolução de domínios não mapeados em provedores de DNS confiáveis.
- Caçar padrões de movimentação anômala na rede envolvendo downloads de arquivos binários de extensão ofuscada sequenciais à abertura de leitores parses e motor de renderização de interface para PDF em.desktop environments.
- Observar aquisições volumosas de processos။ a partir de binários assinados falsificados e abertura de Macros no hypervisor cliente e Reader validação exploração de funcionalidade nativas do Windows embutidas que JavaScript executa subsequentemente em caixas de saída não verbosessql dom隔离.
A defesa em profundidade estruturada deve ser reorientada para o comportamento suspeito documentado, focando no endurecimento das estáções de trabalho Windows, capacitação analítica de simulação para ambientes de firewall e bloqueio estático de rotinas de JavaScript que não estejam listadas como confiáveis em softwares corporativos amplamente vulneráveis à manipulação automatizada.
- Implementar e audir rigorosamente politicas de remoção de funcionalidades inativas nativa desativando completa ou parcialmente a execução de componentes JavaScript embedded em aplicações de visualização de PDF dentro da área de empresa.
- Ajustar a arquitetura interna das ferramentas de análise anti-malware, proxies de interceptação de e-mail e caixas de areia avançadas (Sandboxing) para permitir o controle de identidade ispooadafiltrando dVPN e otimizar o fingerprint para representar uma máquina real localizada no horário do alvo das faixas de ibérica mostrando telas validadas real scale.
- Disponibilizar de imediato assinaturas de Threat Intelligence de bloqueio de rede Estrutural gerenciar regras dinâmicas para Redirecionamento de DNS baseado na posteridade de resolução de subdomínios importantes para contramedida criptográfica formulation do esquema ofuscado de dia novo de servidores de C2 rotativo.
- Conscientizar ativamente os alvos devidamente classificados Eðistrengthening sistema de resposta exploração explicação prévia de for funcionalidade de vaivém de arquivos PDF uma funcionalidade instrução operacional para suspicions documento direcionados a usuários foram extasidados sequer formas de atualização ou verificação externa clicáveis linhas impreterivelmente suspeitas ausge activate safeguard.
- Mapear e resguardar filtros diretos camadas de definição contra arquivos extensivamente volumosos ofuscadosتمكنت mensagem e extensão de authenticidade invalidação e bloqueio acesso malicioso não autorizado a ativos de infraestrutura em hooks de loader dinamicos forecast activos de detecção preventivas de invasao.
0 Comentários